Die Firma Avast hat auf der Sicherheitskonferenz Virus Bulletin in Madrid neue Erkenntnisse zur Malware vorgestellt, die im August und September für rund einen Monat mit Ccleaner verteilt wurde. Für Nutzer von 64-Bit-Systemen gibt es gute Nachrichten.

In dem Zeitraum gab es rund 2,27 Millionen Installationen der infizierten Software, etwa 1,65 Millionen nahmen danach Kontakt mit dem Command-and-Control-Server auf. Die zweite Stufe der Malware sei auf etwa 40 Rechnern installiert worden, was laut Ciscos These ein gezielter Angriff war. Nicht nur die kostenfreie Ccleaner-Version für 32-Bit-Systeme soll den Payload enthalten haben, sondern auch die Version Ccleaner Cloud in der Version 1.7.0.3191.

In der einfachen Ccleaner-Version bricht die Malware den Installationsvorgang ab, wenn Nutzer keine Administratorrechte haben. In der Cloud-Version dagegen nicht. Dort wird die zweite Stufe der Malware aktiviert, wenn der Nutzer nur beschränkte Rechte hat. Bei der zweiten Stufe handelt es sich nur um ein Programm, das weitere Software nachlädt.

In dieser Stufe befindet sich eine get_tls_callback Funktion, die verschlüsselte Inhalte enthält. Das Programm entschlüsselt den Code und der Download für die nächste Stufe der Malware wird dadurch gestartet. Der Prozess läuft als eigener Thread abseits der Ccleaner-Installation.

Es vergehen zehn Minuten bevor der Download gestartet wird. Laut den Avast-Forschern sei dies eine gute Nachricht für Nutzer von 64-Bit-Systemen. Denn wenn Nutzer der 64bit-Systemen die 32-Bit-Version von Ccleaner genutzt haben, ließe diese sich zwar installieren, würde aber nur wenige Momente laufen und ein Update auf die 64-Bit-Version empfehlen.

(pp, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE